不気味な「追跡広告」複合体への最新の打撃として、フランスのアドテック大手 Criteo は、欧州連合のデータ保護規則に違反していることが発覚し、同国の国家プライバシー監視機関から 6,000 万ユーロ (約 6,500 万ドル) の制裁を受けました。何年にもわたる調査の結果、仮決定。
ブロックの一般データ保護規則 (GDPR) が適用された 2018 年に、監視アドテクの巨人に対して正式な苦情を申し立てたデジタル権利擁護団体のプライバシー インターナショナルは、 つぶやいた 今日の制裁のニュース。
同社は、Criteo が「操作マシン」と呼ぶものを運用していると非難しています。これは、Web ユーザーをプロファイリングするように設計された一連の追跡技術とデータ処理慣行を適用して、行動広告でターゲティングし、広告主が「個人レベル」の料金を支払うことができるようにするためのものです。買い物客の予測」。
Privacy International の訴状では、Criteo には、このすべての追跡とプロファイリングが GDPR に準拠するための適切な法的根拠がないと主張しています。
Privacy International の広報担当者は、CNIL の予備決定のコピーを受け取っていないが、標準的な苦情処理手順に従ってフランスの監視機関から開発について知らされたと述べた.
「CNIL は 8 月 3 日火曜日に、苦情の進行状況を苦情申立人に通知し続ける義務があることを通知しました。 まだ最終決定ではないので、なぜ公開しないのか」と彼女は TechCrunch に語った. 「彼らはそれを私たちと共有することさえできません。 Criteo は現在、陳述を行い、是正措置を実施する機会を得ており、その後、ヒアリングが行われ、2023 年に最終決定が下される可能性があります。」
また、CNIL にも連絡を取りました。
8 月 3 日付の Criteo ファイリングは、フォーム 8-K/A ファイリングに「特定の GDPR 違反、特に当社とその広告主およびパブリッシャーとの契約関係に関連する、同意収集の監視」。
「報告書には、会社に対する6000万ユーロ(6540万ドル)の金融制裁案が含まれています。 CNIL制裁手続きの下で、Criteoは、GDPRの調査結果と制裁の価値の両方に関して、レポートに書面で応答する権利を有し、その後、CNIL制裁委員会で正式なヒアリングが行われます。 その後、CNIL 制裁委員会は、GDPR によって義務付けられた協力メカニズムの一環として、他の欧州データ保護当局との協議のために提出される決定草案を発行します。 解決と潜在的な金銭的罰則に関する最終決定は、2023 年まで下されない可能性が高い」と Criteo の提出書類は続きます。
制裁についてさらにコメントを求めて Criteo に連絡したところ、広報担当者は次のように指摘しました。 声明 同社の最高法務責任者である Ryan Damon 氏も次のように書いています。
我々は、CNIL 調査官の報告書の調査結果に、GDPR を遵守していないという調査官の主張と提案された制裁の量の両方に関連するメリットに強く同意しません。 私たちは、このレポートのメリットには根本的な欠陥があり、提案された制裁は、申し立てられた違反行為と釣り合いが取れていないと考えています。 CNIL とのさらなる対話と、最終決定の最終的な仲裁人に対して私たちの訴訟を弁護することを楽しみにしています。 Criteo は引き続き最高のプライバシー基準を維持し、完全に透明で規制に準拠したグローバル ビジネスを運営しています。 これらの進行中の訴訟が解決されるまで、これ以上のコメントはありません。
CNIL は、自身の Web サイトで決定の通知を発行していないようです。これは暫定的なものである可能性があります。 (ただし、EU DPA も常に決定を公開するとは限りません。)
フランスのアドテク大手がその調査結果に対して積極的に反論する中、監視機関がその銃に固執するかどうかはまだ分からない。
しかし、暫定的な決定は、いわゆる「監視広告」エコシステムに対する (ヨーロッパでの) 最新の打撃に過ぎません。これは、データ保護に関する規制が停滞していた初期の数年間、Web ユーザーからプライバシーを剥奪することを使命としていました。個人の注意を操作する広告主の能力を最適化する。
一連のプライバシーとデータのスキャンダルにより、一部の批評家が史上最大のデータ侵害と呼んでいるものに対する認識が高まりました。これにより、主流のアドテックの不気味で同意を必要としない行為についての無礼な目覚めがもたらされました。 手口、これは、規制と立法の二重計算につながります (実際の GDPR の施行はまだたくさんありますが)。
今年の初め、ベルギーの DPA は、広告業界団体である IAB ヨーロッパと、透明性と同意のフレームワーク/TCF と呼ばれる、広告の追跡に関するユーザーの選択肢を収集するための業界横断的な標準に対する、以前の予備調査結果を確認しました。 IAB に対し、フレームワークを改革してコンプライアンスを実現するための 6 か月という厳しい期限を設けています (ただし、プライバシーの専門家は、これらのシステムのルートとブランチの再構成にほかならないことを示唆しています)。
近年、フランスの CNIL は、ブロックの ePrivacy 法の下で、Cookie の違反を追跡することに対していくつかの主要な制裁も発令し、今年初めに Google (認可された技術大手の 1 つ) はヨーロッパで改訂された Cookie バナーを発行し、最終的にユーザーに明確な選択肢を提供しました。その追跡を拒否します。 かなりの勝利。
今年、EU 議員は、次期デジタル規制で対象を絞った広告に使用される機密データと子供のデータの使用を禁止することにも合意しました。 今週、ブロックの最高裁判所による判決は、機密データを構成するものの狭義ではない定義を強化することにより、その制限を強化するように見えます.